24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋(píng)果版本:8.7.30

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

美國(guó)金融企業(yè)IT審計(jì)的主要特點(diǎn)及對(duì)我國(guó)的啟示

來(lái)源: 南京審計(jì)學(xué)院會(huì)計(jì)學(xué)系·汪錦麗 編輯: 2006/03/07 00:00:00  字體:

  金融企業(yè)是IT(信息技術(shù))運(yùn)用最廣泛的領(lǐng)域,IT已從傳統(tǒng)的后臺(tái)支持轉(zhuǎn)變?yōu)闃I(yè)務(wù)競(jìng)爭(zhēng)的籌碼,由于處于國(guó)民經(jīng)濟(jì)中的特殊地位,其安全性尤其受到各方面的重視,作為監(jiān)督部門的審計(jì)如何為其保駕護(hù)航?在此,筆者就美國(guó)金融企業(yè)IT的審計(jì)的特點(diǎn)及其背景作一分析,以期對(duì)我們有所啟示。

  一、美國(guó)金融企業(yè)IT審計(jì)的主要特點(diǎn)

  1、信息技術(shù)專項(xiàng)審計(jì)明顯增多。上世紀(jì)90年代中期,美國(guó)從事金融企業(yè)IT審計(jì)的人員有55%—70%的工作都是協(xié)助財(cái)務(wù)審計(jì)人員,到2000年這一比例下降到了50%以下。尤其是計(jì)算機(jī)“千年蟲(chóng)”事件使人們深刻地意識(shí)到信息技術(shù)自身安全的重要性,在處理這一事件中,信息技術(shù)專項(xiàng)審計(jì)發(fā)揮了重要作用,得到了監(jiān)管者、董事會(huì)及管理者的高度重視。 IT審計(jì)已不是財(cái)務(wù)審計(jì)的配角,它已成為風(fēng)險(xiǎn)管理的重要工具,成為金融企業(yè)有效實(shí)行IT治理的保證。

  2、采用以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)方法。實(shí)行以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)前提是建立風(fēng)險(xiǎn)評(píng)分系統(tǒng),即參照美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)、信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(1SACA)、內(nèi)部審計(jì)協(xié)會(huì)(IIA)等組織所發(fā)布的業(yè)界標(biāo)準(zhǔn)或自身的經(jīng)驗(yàn),使用統(tǒng)一的方法對(duì)信息技術(shù)每個(gè)方面的風(fēng)險(xiǎn)大小進(jìn)行評(píng)估打分,評(píng)出低、中、高或從1—5的數(shù)字風(fēng)險(xiǎn)等級(jí),一般為一年一次,但如果金融企業(yè)在IT方面經(jīng)歷了明顯的變化則需增加評(píng)估的次數(shù)。對(duì)每一領(lǐng)域?qū)徲?jì)的頻率與深度都由評(píng)估結(jié)果決定。從一個(gè)審計(jì)周期來(lái)看,高風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)領(lǐng)域一般分別不超過(guò)12、24、36個(gè)月。以風(fēng)險(xiǎn)為基礎(chǔ)的IT審計(jì)使審計(jì)人員能夠在對(duì)風(fēng)險(xiǎn)全面監(jiān)控的基礎(chǔ)上集中審計(jì)資源于高風(fēng)險(xiǎn)領(lǐng)域,確保了審計(jì)對(duì)風(fēng)險(xiǎn)的控制質(zhì)量。

  3、外包內(nèi)部IT審計(jì)比較常見(jiàn)。合理的IT審計(jì)外包既可以保證審計(jì)質(zhì)量又可以充分利用外部資源,解決內(nèi)部IT審計(jì)人員不足問(wèn)題。美國(guó)金融企業(yè)通過(guò)采取三個(gè)方面的措施來(lái)降低外包IT內(nèi)審的風(fēng)險(xiǎn):一是保證外包者的獨(dú)立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計(jì)人員在實(shí)施財(cái)務(wù)報(bào)告審計(jì)的同時(shí)外包該公司內(nèi)審業(yè)務(wù),聯(lián)邦存款保險(xiǎn)公司要求總資產(chǎn)在5億以上的成員機(jī)構(gòu),不管它們是否是上市公司均應(yīng)遵守該法案的這項(xiàng)規(guī)定,并鼓勵(lì)其他的金融企業(yè)遵守。二是對(duì)IT內(nèi)審?fù)獍邔?shí)行一定的控制。明確指出任何關(guān)于本企業(yè)的信息都必須保密,如審計(jì)工作底稿的保存時(shí)間、變更服務(wù)合同的條件、向董事會(huì)和高級(jí)管理者報(bào)告的方式和頻率等。三是管理部門要做好充分準(zhǔn)備應(yīng)付合同執(zhí)行的意外情況,以防出現(xiàn)審計(jì)缺口。如合同的突然終止引起外包安排的結(jié)束等。

  4、IT審計(jì)是金融企業(yè)控制技術(shù)服務(wù)提供商(TSP)的重要手段。金融企業(yè)的特長(zhǎng)是經(jīng)營(yíng)貨幣而不是信息技術(shù),出于利用外部技術(shù)專家、降低成本、專注于發(fā)展自己的核心業(yè)務(wù)、解決IT人員不足等原因,美國(guó)金融企業(yè)外包部分或全部IT業(yè)務(wù)給TSP比較常見(jiàn)。對(duì)于有外包的金融企業(yè),局限于內(nèi)部的IT審計(jì)已不能滿足安全需要,為了防止由于TSP內(nèi)部控制不善、技術(shù)競(jìng)爭(zhēng)力不強(qiáng)、不能有效保護(hù)客戶信息等原因而帶給自己風(fēng)臉,企業(yè)要對(duì)TSP的信息技術(shù)及相關(guān)控制等實(shí)施嚴(yán)格的監(jiān)控,對(duì)TSP進(jìn)行IT審計(jì)是其重要手段。一般在合同中就應(yīng)明確對(duì)TSP有審計(jì)的權(quán)利,可以采用金融企業(yè)內(nèi)審人員直接審計(jì)、接受并審查由TSP審計(jì)人員提供的審計(jì)報(bào)告的方法,但最常用的是聘請(qǐng)獨(dú)立于金融企業(yè)與TSP的第三方審計(jì)人員實(shí)施對(duì)TSP的審計(jì),要求第三方審計(jì)人員同時(shí)向TSP、本企業(yè)的管理層及內(nèi)部審計(jì)人員提供根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的SAS 70標(biāo)準(zhǔn)提出的審計(jì)報(bào)告。

  5、IT審計(jì)功能是否健全是金融監(jiān)管當(dāng)局決定監(jiān)管關(guān)注程度的重要因素。負(fù)責(zé)制定對(duì)金融機(jī)構(gòu)實(shí)施聯(lián)邦檢查統(tǒng)一原則、標(biāo)準(zhǔn)和報(bào)告的聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(FFIEC)早在1978年就制定了信息系統(tǒng)評(píng)級(jí)體系,1999年調(diào)整并更名為信息技術(shù)統(tǒng)一評(píng)級(jí)體系(URSIT),由綜合等級(jí)和四個(gè)成份等級(jí)構(gòu)成。綜合等級(jí)的評(píng)定基礎(chǔ)是四個(gè)成份等級(jí),審計(jì)從1978年到現(xiàn)在一直排在四個(gè)成份等級(jí)之首,而且在1999年的調(diào)整中得到了進(jìn)一步加強(qiáng)。如果審計(jì)作用不充分,那么不管其他成份等級(jí)如何,其綜合等級(jí)只能是在3— 5之間,需引起特別監(jiān)管注意。同時(shí)IT審計(jì)的情況還可通過(guò)CAMELS評(píng)級(jí)體系中的管理等因素影響到監(jiān)管當(dāng)局對(duì)金融企業(yè)安全性與可靠性監(jiān)管關(guān)注程度。監(jiān)管的壓力迫使金融企業(yè)在IT內(nèi)審人員不足的情況下外包內(nèi)部審計(jì)以提高審計(jì)質(zhì)量。

  6、IT審計(jì)與公司治理形成了良性互動(dòng)關(guān)系。良好的公司治理為IT審計(jì)的發(fā)展提供了控制環(huán)境和制度基礎(chǔ)。董事會(huì)、高級(jí)管理者、審計(jì)管理部門、內(nèi)外部審計(jì)人員在審計(jì)過(guò)程中分工細(xì)致、責(zé)任明確。并保證了審計(jì)的獨(dú)立性。隨著金融企業(yè)對(duì)IT的依賴性越來(lái)越大,IT控制的作用越來(lái)越大,IT治理機(jī)制已成為落實(shí)公司治理的重要手段,IT審計(jì)也就成為實(shí)現(xiàn)IT與業(yè)務(wù)的匹配管理、IT價(jià)值貢獻(xiàn)管理、IT風(fēng)險(xiǎn)管理、IT績(jī)效管理等的重要保證,花旗銀行等美國(guó)大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制,日益彰顯IT審計(jì)的重要性。

  二、特點(diǎn)形成的背景分析

  1、有關(guān)各方都十分重視IT審計(jì)尤其是專項(xiàng)IT審計(jì)在IT發(fā)展中的作用。IT審計(jì)是解決IT“超額預(yù)算”、“投資黑洞”、“服務(wù)品質(zhì)低劣”等問(wèn)題的必要手段,它可以維持IT控制、IT風(fēng)險(xiǎn)管理及公司治理的有效性,對(duì)于金融企業(yè)每年高額的IT投資來(lái)說(shuō),引入IT審計(jì)就像引入會(huì)計(jì)、審計(jì)對(duì)企業(yè)資產(chǎn)和經(jīng)營(yíng)進(jìn)行監(jiān)督一樣意義重大。早在上世紀(jì)60年代,美國(guó)金融企業(yè)內(nèi)部就設(shè)立了電子數(shù)據(jù)處理審計(jì)及安全辦公室,在計(jì)算機(jī)“千年蟲(chóng)”事件中,IT專項(xiàng)審計(jì)發(fā)揮了重要作用,使人們深刻地意識(shí)到信息技術(shù)自身安全的重要性,引起了金融企業(yè)、監(jiān)管當(dāng)局等有關(guān)方面的高度重視。其直接表現(xiàn)就是:IT專項(xiàng)審計(jì)加速發(fā)展,已不再是財(cái)務(wù)審計(jì)的配角,同時(shí)監(jiān)管當(dāng)局也加大了對(duì)金融企業(yè)IT審計(jì)的監(jiān)管。安然等事件后出臺(tái)的《薩班斯—奧克斯萊法案》也清楚地表明了國(guó)會(huì)希望在財(cái)務(wù)報(bào)告中包含信息技術(shù)審計(jì)的可靠性。

  2、審計(jì)人員可利用的資源豐富。主要包括:

 ?。?)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)、ISACA、內(nèi)部審計(jì)協(xié)會(huì)、ISO等組織所發(fā)布的標(biāo)準(zhǔn)或研究成果在美國(guó)都得到了充分運(yùn)用。

  (2)國(guó)會(huì)頒布的涉及IT的法律較全。(3)FFIEC等金融監(jiān)管機(jī)構(gòu)頒布的部門規(guī)章更是及時(shí)而全面。

 ?。?)專業(yè)審計(jì)軟件的水平較高。

  3、外部IT人才相對(duì)充足,使IT專項(xiàng)審計(jì)與外包成為可能。美國(guó)IT人才相對(duì)其他國(guó)家來(lái)說(shuō),比較充足,加之金融業(yè)發(fā)達(dá),與之相關(guān)的其他業(yè)務(wù)也比較成熟。

 ?。?)TSP的IT技術(shù)力量雄厚。他們不但精通IT業(yè)務(wù),而且熟悉金融業(yè)務(wù),使很多金融企業(yè)傾向于集中時(shí)間和財(cái)力加強(qiáng)核心策略,即充當(dāng)顧客需求與市場(chǎng)之間的金融中介人,而將自己不擅長(zhǎng)的IT外包。

 ?。?)外部IT審計(jì)人員實(shí)力很強(qiáng)。有人曾對(duì)美國(guó)前幾家大會(huì)計(jì)師事務(wù)所進(jìn)行調(diào)查并估計(jì),它們各自的IT審計(jì)人員將從1990年的不足100人發(fā)展到 2005年-+超過(guò)5000人。

  三、對(duì)我國(guó)金融企業(yè)IT審計(jì)的啟示

  當(dāng)前我國(guó)金融企業(yè)的信息技術(shù)飛速發(fā)展,但I(xiàn)T審計(jì)沒(méi)有發(fā)揮應(yīng)有的作用,發(fā)展我國(guó)金融企業(yè)IT審計(jì)勢(shì)在必行。

 ?。?)有關(guān)各方要重視IT審計(jì)尤其是專項(xiàng)審計(jì)在信息技術(shù)建設(shè)中的作用。企業(yè)要充分重視IT內(nèi)審的作用,完善公司治理機(jī)制,保證內(nèi)審的獨(dú)立性。監(jiān)管部門應(yīng)加強(qiáng)對(duì)金融企業(yè)的IT審計(jì)的監(jiān)管。我國(guó)IT發(fā)展已有多年,但對(duì)IT的監(jiān)管幾乎是一片空白,監(jiān)管者應(yīng)將IT安全作為監(jiān)管的重要內(nèi)容,將IT審計(jì)作為評(píng)價(jià)其安全性的重要因素,通過(guò)現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)檢查對(duì)金融企業(yè)進(jìn)行督促。國(guó)家審計(jì)應(yīng)加強(qiáng)對(duì)金融企業(yè)信息技術(shù)本身的審計(jì)。

 ?。?)積極解決IT審計(jì)人才不足的問(wèn)題。一方面有關(guān)各方要積極吸引人才、加強(qiáng)在職人員培養(yǎng)。另一方面從長(zhǎng)遠(yuǎn)來(lái)看,金融企業(yè)應(yīng)增加IT技術(shù)尤其是通用技術(shù)的外包,將大批內(nèi)部 IT開(kāi)發(fā)人員適當(dāng)轉(zhuǎn)化為固定的IT內(nèi)部審計(jì)人員。

  (3)為IT審計(jì)人員提供豐富的審計(jì)資源。國(guó)家應(yīng)制定、完善有關(guān)法律,盡快制定與國(guó)際接軌的IT安全與審計(jì)標(biāo)準(zhǔn),借鑒美國(guó)等先進(jìn)國(guó)家的做法探索專門針對(duì)信息技術(shù)安全與審計(jì)的方法、技術(shù),及時(shí)出臺(tái)一些具體的操作指南或手冊(cè),同時(shí)加緊開(kāi)發(fā)一些審計(jì)軟件,使IT審計(jì)變得相對(duì)簡(jiǎn)單、具體而規(guī)范化。

 ?。?)重視IT審計(jì)在對(duì)TSP實(shí)施控制中的作用。雖然傳統(tǒng)上我國(guó)金融企業(yè)都熱衷于自行開(kāi)發(fā)IT尤其是核算業(yè)務(wù)技術(shù),但外包IT業(yè)務(wù)是國(guó)際趨勢(shì),尤其是對(duì)于中小金融企業(yè),浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務(wù)領(lǐng)域的合作標(biāo)志著我國(guó)金融企業(yè)外包IT業(yè)務(wù)已經(jīng)邁開(kāi)了步伐,如何利用審計(jì)等措施來(lái)控制TSP應(yīng)引起有關(guān)各方的重視。算業(yè)務(wù)技術(shù),但外包IT業(yè)務(wù)是國(guó)際趨勢(shì),尤其是對(duì)于中小金融企業(yè),浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務(wù)領(lǐng)域的合作標(biāo)志著我國(guó)金融企業(yè)外包IT業(yè)務(wù)已經(jīng)邁開(kāi)了步伐,如何利用審計(jì)等措施來(lái)控制TSP應(yīng)引起有關(guān)各方的重視。

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)